Bitdefender Total Security有一個機制名為Bitdefender Safepay,它是個封閉的瀏覽器環境,主要用於使用者執行網銀或其它網路交易時,而CVE-2020-8102漏洞便存在於Bitdefender Safepay中。 發現漏洞的研究人員Wladimir Palant指出,Bitdefender軟體會檢查瀏覽器的HTTPS連線,萬一遇到憑證無效或過期,它不是讓一般瀏覽器處理此一錯誤,而是選擇在自己的Safepay瀏覽器中顯示,且網址列上的URL是不變的,這就可能讓Safepay載入惡意網頁,使得該網頁得以與其它位於Safepay內的網站分享同樣的安全令牌。(圖片來源/Wladimir Palant)

獨立資安研究人員Wladimir Palant本周踢爆一個藏匿在Bitdefender Total Security防毒軟體中的安全漏洞,指出此一編號為CVE-2020-8102的漏洞將允許駭客執行任意程式,Bitdefender 則在Palant公布漏洞的同一天宣布已釋出更新版

Bitdefender Total Security號稱為一可保護所有平臺及裝置安全性的解決方案,具備反勒索軟體、Wi-Fi安全、防火牆及先進威脅防禦功能,其中有一個機制名為Bitdefender Safepay,它是個封閉的瀏覽器環境,主要用於使用者執行網路銀行、電子商務或其它網路交易時,而CVE-2020-8102漏洞便存在於Bitdefender Safepay中。

Palant指出,Bitdefender軟體會檢查瀏覽器的HTTPS連線,萬一遇到憑證無效或過期,它不是讓一般瀏覽器處理此一錯誤,而是選擇在自己的Safepay瀏覽器中顯示,且網址列上的URL是不變的,這就可能讓Safepay載入惡意網頁,使得該網頁得以與其它位於Safepay內的網站分享同樣的安全令牌,造成引狼入室的後果。

Bitdefender則說,這是因為Safepay不當地驗證輸入所引發的安全漏洞,將允許一個外部且特製的網頁在Safepay程序中執行遠端命令,而且該漏洞影響Bitdefender Total Security 2020的各種版本,但已釋出24.0.20.116來修補此一重大漏洞。


Advertisement

更多 iThome相關內容